Még 2022 márciusában a kriptovaluta hálózat Ronin felfedte, hogy minden idők egyik legnagyobb hackjének esett áldozatul, és olyan incidenst szenvedett el, amely lehetővé tette a támadóknak több mint 540 millió dollárt lop el értékű Ethereum és USD érméket. Az incidens során a hackerek kihasználták a Ronin Bridge néven ismert szolgáltatás sebezhetőségét. Ez egyike a „blokklánc hidak” elleni sikeres támadásoknak a közelmúltban, amelyek felhívták a figyelmet a belső biztonsági hiányosságokra.
A blokklánc hidak, amelyeket néha hálózati hidaknak is neveznek, olyan szolgáltatások, amelyek lehetővé teszik a kriptotulajdonosok számára, hogy digitális eszközeiket egyik blokkláncról a másikra helyezzék át. Fontos szerepet töltenek be, mert a kriptovaluták gyakran el vannak zárva, és nem képesek az interoperabilitásra, vagyis például egy Ethereum pénztárca címére küldhet Bitcoint. Az elzárt természet miatt a hidak kulcsmechanizmussá váltak a kriptogazdaságban.
A hídszolgáltatások valójában nem egyfajta digitális eszközt helyeznek át egy másik láncba. Inkább „becsomagolják” a kriptovaluta tokeneket, hogy a másik láncon lévő új eszközökké alakítsák át őket. Tehát ha egy felhasználó át akarja hidalni a Bitcoint a Solanával, akkor a híd lényegében lefagyasztja az eredeti BTC-t azáltal, hogy egy pénztárcacímbe zárja, mielőtt kiköpné az úgynevezett wrapped BTC-t (WBTC), amely a második láncon használható. Felfogható egyfajta, pontosan azonos pénzértéket biztosító ajándékkártya, amely csak egy adott üzletben használható fel.
Munkájukból adódóan a hidak ezért jelentős kriptovaluta token-tartalékokat tartalmaznak, amelyek intelligens szerződésekbe vannak zárva, és ezek a tartalékok különösen vonzóvá teszik őket a hackerek számára.
Amint azt a kriptográfiai szakértők nagyon jól tudják, a láncon lévő bármely érték a nap bármely szakában támadásnak van kitéve. Az internet soha nem megy offline állapotba, vagyis a hídon lévő tokenek mindig elérhetők.
Ronin Hack bemutatja a központosítás veszélyét
Ez egy erősen központosított beállítás, amely az Axie Dao azon döntésének eredménye, hogy 2021 novemberében gázmentes RPC csomópontot állított fel a hálózati torlódások megoldására. A DAO engedélyezte a Sky Mavis kulcsokat a tranzakciók aláírásához a nevében. Csak ideiglenes megállapodásnak kellett volna lennie, de az engedélyezési listát soha nem vonták vissza. Ez nyílást hozott létre a támadók számára – állítólag az Észak-Korea által szponzorált Lazarus Group –, amelyek szociális tervezési technikákat alkalmaztak a Sky Mavis négy kulcsának kompromittálására. A hackerek ezután egy sérülékenységet fedeztek fel az RPC kódjában, amely lehetővé tette az ötödik érvényesítő vezérlését, és lehetővé tette az illegális visszavonást.
A fő probléma az volt, hogy a Ronin több aláírást tartalmazó rendszere a tranzakciók aláírására a decentralizáció hiánya miatt veszélybe került. A biztonsági mechanizmusok gyengeségét szemlélteti, ahol a kormányzás nagy része egyetlen entitás kezében összpontosul.
Továbbra is fennállnak az intelligens szerződések sebezhetőségei
A Qubit Bridge-et az intelligens szerződés kódjában szereplő „logikai hiba” miatt törték fel. A biztonsági rés lehetővé tette a hacker számára, hogy rosszindulatú adatok felhasználásával manipulálja a hidat, így a BSC tokeneket anélkül vonhatta ki, hogy bármit is befizetett volna az Ethereumon. An a támadás boncolása megállapította, hogy a QBridge intelligens szerződés nem ellenőrizte megfelelően a szükséges mennyiségű ETH zárolását. Ehelyett a hacker hamis bizonyítékot tudott felmutatni egy nem létező letétről.
Az incidens rávilágított arra, hogy az intelligens szerződések sebezhetősége továbbra is állandó probléma a DeFi-ben, és különösen a blokklánc-hidak esetében. A hídtámadások túlnyomó többsége az intelligens szerződések hibáit célozza meg, amelyek olyan automatizált szerződések, amelyek bizonyos feltételek teljesülése esetén automatikusan végrehajtódnak.
A hidak kulcsfontosságúak a kriptográfiai hatókör kiterjesztésében
Jobb hidak építése
A jó hír az, hogy vannak olyanok az iparágban, akik felismerik a biztonságos blokklánc-kapcsolat fontosságát. Az egyik izgalmas lehetőség az AllianceBlock's nagyon ígéretes AllianceBridge, amely támogatja a főbb hálózatokat, köztük az Ethereumot, a Binance Smart Chain-t, az Avalanche-t, a Polygont, az Arbirtrumot, az Optimizmust és az Energy Web-et, egyedülálló infrastruktúrával, amely decentralizáltabb, és gyorsabb és biztonságosabb teljesítményt nyújt.
Ellentétben a központosított hidakkal, amelyek egyetlen vagy csak néhány entitásra támaszkodnak a tranzakciók jogszerűségének ellenőrzésére, a decentralizált hidak ugyanazokon az elveken alapulnak, mint maga a blokklánc. Több operátor is jól strukturált konszenzusos mechanizmusokat használ a tranzakciók érvényességének megállapítására. Az AllianceBridge egy decentralizált híd, amely egyedülálló módszert fejlesztett ki a konszenzus elérésére.
Másokhoz hasonlóan az AllianceBridge is intelligens szerződésbe zárja a kapott tokeneket, majd csomagolt tokeneket bocsát ki a cél blokkláncon. Ezek a becsomagolt tokenek a második láncban léteznek mindaddig, amíg a felhasználó úgy dönt, hogy beváltja őket az eredeti hálózaton. Ekkor a becsomagolt tokeneket elégetik, vagyis megszűnnek létezni, míg a natív láncon lévő eredeti tokenek feloldódnak.
Az AllianceBridge abban különbözik, hogy hídüzemeltetők EVM-kompatibilis hálózatát alkalmazza. Ezenkívül kihasználja a robusztus, harmadik felet Hedera Hashgraph konszenzus szolgáltatás amelyet egy innovatív "pletykálkodni” konszenzusos algoritmus.
A HCS szolgáltatás segítségével a blokklánc alkalmazások és hálózatok üzeneteket küldhetnek be a Hedera nyilvános főkönyvébe, ahol azok időbélyegzéssel és teljes átláthatósággal rendelhetők. Ez lehetővé teszi az AllianceBridge számára, hogy konszenzusra jusson anélkül, hogy fenntartaná a szinkronizálást a híd üzemeltetői között. Ez gyorsabb teljesítményt jelent nagyfokú decentralizáció mellett, míg a HCS egy extra bizalmi réteget biztosít, amely biztonságosabbá teszi a hidat.
Az AllianceBridge intelligens szerződései, amelyek az eredeti eszközök zárolására és a becsomagolt tokenek verésére és elégetésére szolgálnak, még nagyobb biztonságot nyújtanak. A teljes intelligens szerződés kódbázist úgy írták, hogy az EIP-2535 szabvánnyal rezonáljon, és az is lett az Omniscia teljes körűen auditálta. Az audit során az Omniscia számos lehetséges problémára hívta fel a figyelmet, amelyeket az AllianceBlock azonnal kijavított a kód életbe lépése előtt.
Az AllianceBridge biztonsága és megbízhatósága kulcsszerepet játszott az AllianceBlock DeFi-kínálatának bővítésében, beleértve a DeFi terminál, amely egyszerű módot biztosít a projektek számára likviditásbányászati és befektetési kampányok indítására több támogatott hálózaton és dApp-on. Biztonságos blokklánc-interoperabilitási protokolljával az AllianceBlock azt a szilárd alapot építi meg, amelyre egy gazdag, összekapcsolt Web3 ökoszisztémának szüksége van a növekedéshez és fejlődéshez.
- Reklám -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean